CRA ab September: Hersteller müssen Sicherheitslücken in 24 Stunden melden

Ab September 2026 müssen Unternehmen aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden melden – das EU-Cyber-Resilience-Gesetz (CRA) zeigt erstmals seine Zähne.

Während Japan und Singapur am heutigen Montag ein Abkommen zur gegenseitigen Anerkennung von IoT-Sicherheitslabels in Kraft setzen, bereitet sich die Industrie in Europa auf die nächste Welle der Regulierung vor. Das Memorandum zwischen den beiden asiatischen Ländern, das bereits am 18. März unterzeichnet wurde, soll den Marktzugang für vernetzte Geräte durch harmonisierte Standards erleichtern. Für deutsche Hersteller, die auch nach Asien exportieren, wird die Fragmentierung der Sicherheitsanforderungen damit nicht geringer – im Gegenteil.

Erste Deadline: September 2026

Anzeige: Wer ab September 2026 aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden melden muss, riskiert bei Verstößen Strafen bis zu 15 Mio. Euro. Dieser Report liefert die Checkliste für die CRA-Compliance in 5 Schritten – inklusive Vorlage für das Meldeverfahren und Tool-Übersicht für automatisierte SBOMs. Jetzt kostenlosen Compliance-Report anfordern

Der wichtigste Termin für Hersteller digitaler Produkte rückt näher. Ab dem 11. September 2026 sind Unternehmen verpflichtet, aktiv ausgenutzte Sicherheitslücken innerhalb von 24 Stunden an die EU-Agentur für Cybersicherheit (ENISA) oder die nationalen Computer-Notfallteams (CSIRTs) zu melden. Wer diese Frist verpasst, riskiert empfindliche Strafen.

Die vollständige Compliance mit dem CRA wird ab dem 11. Dezember 2027 Pflicht. Dann müssen alle Produkte mit digitalen Elementen das CE-Zeichen tragen. Die Verordnung ersetzt dann offiziell die bisherigen Sicherheitsanforderungen der Funkanlagenrichtlinie (RED). Entscheidend: Die Regeln gelten für jeden Hersteller, der digitale Produkte in der EU verkauft – unabhängig vom Firmensitz.

Die finanziellen Risiken sind enorm. Schwere Verstöße können mit bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes geahndet werden. Fehlerhafte CE-Kennzeichnung oder unzureichende Dokumentation kosten bis zu 10 Millionen Euro oder 2 Prozent des Umsatzes.

KI-Code: Kein Freibrief für Hersteller

Ein besonders heikler Punkt: Die EU-Kommission hat klargestellt, dass KI-generierter Code rechtlich genauso behandelt wird wie handgeschriebener Code. Hersteller haften vollständig für Schwachstellen in ihren Produkten – egal, ob ein menschlicher Entwickler oder ein Tool wie Copilot oder Claude den Code erzeugt hat.

„Die Ausrede, dass eine KI den Fehler gemacht hat, wird vor Gericht nicht ziehen", betonen Branchenkenner. Die Botschaft ist klar: Unternehmen müssen kontinuierlich prüfen und dokumentieren. Die Open Source Security Foundation (OpenSSF) drängt daher auf maschinenlesbare Sicherheitssignale wie Software-Stücklisten (SBOMs) und den Vulnerability Exploitability eXchange (VEX), um die geforderte Transparenz zu gewährleisten.

Zusammenspiel mit dem AI Act

Die Regulierung wird noch komplexer durch das Zusammenspiel von CRA und EU-KI-Verordnung. Nach einer politischen Einigung Anfang Mai 2026 gelten neue Fristen für Hochrisiko-KI-Systeme: Sie müssen die Anforderungen des Anhangs III bis zum 2. Dezember 2027 erfüllen. KI, die in regulierte Produkte integriert ist (Anhang I), hat bis zum 2. August 2028 Zeit.

Branchen mit spezifischen Standards stellen sich bereits darauf ein. Im Schienenverkehr gilt die Zertifizierung IEC 62443-4-2 SL2 zunehmend als Mindeststandard. Das CRA geht aber weiter: Es verlangt fünf Jahre lang Support und Schwachstellen-Management nach dem Verkauf.

Technische Lösungen und nationale Umsetzung

Die Industrie reagiert. Erst Ende Mai brachte der Sicherheitsspezialist Claroty mit „Claire" einen spezialisierten KI-Agenten für kritische Infrastrukturen auf den Markt. OnLogic hat eine Partnerschaft mit Exein geschlossen, um KI-gestützte Sicherheitsfunktionen direkt in robuste Hardware zu integrieren – ein Schritt, der die Sammlung von Nachweisen für das CRA und das US-amerikanische Cyber Trust Mark automatisieren soll.

Anzeige: KI-generierter Code haftet wie handgeschriebener – das CRA macht Hersteller voll verantwortlich. Wer die 24h-Meldefrist und die Dokumentationspflichten unterschätzt, riskiert Millionenstrafen. Dieser Report zeigt, wie Sie mit SBOMs und VEX automatisiert compliant bleiben. CRA-Risiko-Check jetzt sichern

Krisenmanagement auf EU-Ebene

Auch die strukturelle Abwehr wird gestärkt. Erst am 31. Mai verabschiedeten die EU-Mitgliedstaaten ein aktualisiertes Konzept für das Cyber-Krisenmanagement. Unterstützt von ENISA, zielt das Rahmenwerk auf eine gemeinsame Taxonomie und regelmäßige grenzüberschreitende Übungen ab.

In Italien hat die Umsetzung der NIS2-Richtlinie durch das Gesetzesdekret 123/2024 die Aufsichtsbefugnisse der nationalen Cybersicherheitsbehörde (ACN) bereits erweitert. Diese nationalen Gesetze wirken oft mit dem CRA zusammen – und erhöhen die persönliche Haftung von Vorständen, die keine angemessenen Sicherheitsmaßnahmen durchsetzen.

de | wissenschaft | 69458986 |